패스키(Passkey)란? — 비밀번호 없는 로그인의 원리
로그인하려는데 "패스키를 만드시겠습니까?"라는 알림이 자꾸 뜹니다. 구글·애플·마이크로소프트가 한목소리로 미는 이 기술은 한 줄로 요약됩니다 — 비밀번호를 외워서 제출하는 대신, 기기 속 열쇠를 지문·얼굴로 여는 방식입니다.
원리 — 비밀을 전송하지 않는 인증
- 패스키를 만들면 열쇠(개인키)와 자물쇠(공개키) 한 쌍이 생깁니다. 열쇠는 내 기기에, 자물쇠는 사이트 서버에 저장됩니다.
- 로그인할 때 사이트가 "이 문제를 열쇠로 풀어 보라"고 보내면, 기기가 지문·얼굴·잠금 번호로 본인 확인 후 열쇠로 서명해 돌려줍니다.
- 핵심: 비밀(열쇠)은 한 번도 기기 밖으로 나가지 않습니다. 서버에는 자물쇠만 있어 서버가 해킹돼도 훔칠 비밀이 없습니다.
- 지문·얼굴 정보 역시 기기 안에서만 쓰이고 사이트로 전송되지 않습니다.
왜 피싱이 안 통할까
- 재사용 문제도 없습니다 — 사이트마다 다른 열쇠 쌍이 자동 생성되므로, 한 곳이 뚫려도 다른 곳은 무관합니다.
- 유출된 비밀번호 목록으로 여러 사이트를 찔러 보는 공격(크리덴셜 스터핑)도 패스키에는 무의미합니다.
- "외우기 쉬운 비밀번호 vs 안전한 비밀번호"의 딜레마 자체가 사라집니다 — 외울 것이 없으니까요.
기기를 잃어버리면?
- 패스키는 보통 구글 계정·iCloud 키체인으로 암호화 동기화됩니다 — 새 기기에서 계정에 로그인하면 패스키도 복원됩니다.
- 주운 사람은 지문·얼굴·잠금 번호 없이는 패스키를 쓸 수 없습니다.
- 안전장치: 중요한 계정은 패스키를 두 개 이상의 기기에 등록해 두거나, 복구용 로그인 수단(백업 코드 등)을 함께 유지하세요.
그럼 비밀번호는 끝났나
- 아직 아닙니다 — 패스키 미지원 사이트가 많고, 지원하는 곳도 비밀번호를 병행 수단으로 둡니다.
- 현실적인 전략: 지원하는 곳(구글·애플·네이버 등)은 패스키를 켜고, 나머지는 사이트마다 다른 긴 비밀번호를 씁니다.
- 비밀번호를 쓰는 동안의 원칙은 그대로 — 길이가 깡패, 재사용 금지. 만들기 번거로우면 생성기로.
- 특히 이메일 계정은 모든 복구의 입구이므로 가장 강하게(가능하면 패스키 + 2단계 인증) 보호하세요.
비밀번호는 내가 외워서 사이트에 제출하는 '공유된 비밀'이라 유출·피싱·재사용 위험이 따라다닙니다. 패스키는 기기 안에 보관되는 암호 열쇠로, 로그인할 때 비밀 자체를 전송하지 않고 '열쇠를 가지고 있다는 증명'만 보냅니다. 사이트 서버에는 자물쇠(공개키)만 저장되므로 서버가 해킹돼도 내 열쇠는 유출되지 않고, 외울 것도 입력할 것도 없이 지문·얼굴·기기 잠금으로 인증합니다.
대부분 복구할 수 있습니다. 패스키는 보통 구글 계정이나 애플 iCloud 키체인을 통해 암호화되어 동기화되므로, 새 기기에서 같은 계정에 로그인하면 패스키도 따라옵니다. 또 기기를 주운 사람이 있어도 지문·얼굴·잠금 번호 없이는 패스키를 쓸 수 없습니다. 다만 동기화를 꺼 둔 기기 전용 패스키는 기기와 함께 사라지므로, 중요한 계정은 패스키를 두 개 이상의 기기에 등록하거나 대체 로그인 수단을 함께 유지하는 것이 안전합니다.
아직은 아닙니다. 패스키를 지원하지 않는 사이트가 여전히 많고, 패스키를 지원하는 곳도 대부분 비밀번호를 대체가 아닌 병행 수단으로 둡니다. 그래서 당분간은 두 가지를 함께 관리해야 합니다 — 지원하는 곳은 패스키를 켜고, 나머지는 사이트마다 다른 긴 비밀번호를 쓰는 것입니다. 특히 모든 것의 입구인 이메일 계정은 패스키든 비밀번호든 가장 강하게 보호할 가치가 있습니다.